Индийское агентство по кибербезопасности предупредило о вирусе-вымогателе Royal ransomware

Вымогатели атакуют телекоммуникационные компании и производственные предприятия, организации здравоохранения и образовательные учреждения, зашифровывая их файлы. В обмен на разблокировку данных хакеры требуют оплаты услуги по разблокировке в биткоинах. Жертвами хакеров становятся и частные лица, которые тоже получают угрозы, что личные данные могут стать достоянием общественности, если отказаться платить.

Вирус Royal ransomware проникает на компьютеры пользователей через фишинговые электронные письма, загрузку вредоносных программ, а также через протокол удаленного рабочего стола (RDP). Злоумышленники не пренебрегают и методами социальной инженерии, констатируют кибераналитики CERT-In. Часто они вводят потенциальных жертв в заблуждение, убеждая установить зараженное программное обеспечение, выдавая себя за поставщиков каких-либо услуг.

Программа-вымогатель использует особый подход к шифрованию файлов, в зависимости от их объема, говорят специалисты CERT-In. Вредоносное ПО может зашифровать небольшой объем данных в крупном файле, чтобы уменьшить шансы обнаружения атаки. Вирус добавляет 532 байта в конце зашифрованного файла для записи случайно сгенерированного зашифрованного ключа, размера зашифрованного файла и процента шифрования.

После проникновения в сетевую инфраструктуру компании вредоносное ПО пытается закрепиться в сети, отключая антивирусные программы. Затем вымогатель извлекает данные перед шифрованием и удаляет теневые копии файлов, чтобы помешать их восстановлению. Впервые о вирусе-вымогателе стало известно в январе 2022 года, а в сентябре он стал особенно активным, несмотря на предупреждение властей США о его распространении.

Чтобы избежать подобных атак, CERT-In рекомендует пользователям проводить резервное копирование данных в автономном режиме, регулярно обновлять антивирусное ПО, а также игнорировать электронные письма от неизвестных лиц и не нажимать на подозрительные ссылки.

Согласно недавнему исследованию ScamSniffer, криптовалютные фишеры стали все чаще использовать сервис контекстной рекламы Google Ads. За месяц потери пользователей превысили $4 млн.